パスワードレスな世界を作る

jp-news-story-2020-0410-1.jpg

Andy Barron (レノボ、グローバル・コミュニケーション・マネージャー)
2020年3月3日

インターネットはスピードや利便性を高めてくれましたが、同時に大きな悩みももたらしました。パスワードが増え続けるという問題です。コンピューター、メール、クレジットカード、オンライン・ショッピング、オンライン・バンキング、ホテルの会員プログラム、ソーシャル・メディア、ケーブル・チャンネル、飛行機予約など、数え上げればきりがありません。実際、ユーザーが持つオンライン・アカウントの数は平均で約 90 にも達しており、それぞれにパスワードが必要です。

アカウントにはそれぞれ異なるパスワードを設定するのが理想的です。そうしないと、アクセスするすべての Web サイトのセキュリティが、脆弱な Web サイトと同じレベルになってしまいます。ハッカーもパスワードの使い回しを狙っていて、1 つのサイトで盗み出したパスワードを他のサイトでも試しています。実際のところ、半分以上のパスワードは使い回されているというのが現状です。

jp-news-story-2020-0410-2.jpg

これらのオンライン・アカウントとパスワード使い回しに関するデータは、世界的に見られるパスワードへの過度の依存を解消しようと取り組むオープン業界団体、 FIDO アライアンスが公表したものです。

FIDO (Fast IDentity Online) は、パスワードよりも安全で、ユーザーにとって使いやすく、サービス・プロバイダーにとって導入と管理がしやすいオープンな標準規格を普及させることで、認証のあり方を一新するべく活動しています。

FIDO は 2012 年の正式設立を経て 2013 年に一般公開され、当初はレノボを含む少数の企業のみが参加していました。レノボは、PayPal 社、Nok Nok Labs 社、Validity Sensors 社、Infineon 社、Agnitio 社と並んで FIDO の初期メンバーです。FIDO の標準規格を開発から普及段階へと進める取り組みでは、レノボがリーダー的な役割を務めてきています。

FIDO アライアンスは順調に活動を拡大してメンバーも増え、今日では250 社以上が参加しています。今年 2 月には Apple 社も参加しました。この急成長のおかげで、FIDO 標準規格は広く普及しつつあり、それに伴って FIDO 認定製品の数も大幅に増えています。

今や FIDO 認定製品は Windows 10 を含め数百に達し、FIDO 製品を特別なものではなく標準にするというアライアンスの目標に近付いています。

FIDO の継続的な成長を見て大いに喜んでいるのが、レノボの Joe Pennisi です。彼はアライアンスの設立と拡大に重要な役割を果たしてきました。Pennisi が FIDO のアイデアを知ったのは 2010 年のこと、FIDO の設立者であり推進者でもある Ramesh Kesanupalli 氏から話を持ちかけられたのでした。Kesanupalli 氏とは、ThinkPad の指紋センサーを共同開発した頃の知り合いでした。

Pennisi はアライアンスの設立当初からレノボを引き込み、4 人の設立ボードメンバーの 1 人として今日に至るまで財務の責任者を務めています。アライアンスの財務面での成長を支えるとともに、目標達成のための投資を管理しています。

彼は FIDO の幹部として新しいメンバーの招待にも携わり、アライアンスの着実な成功に貢献しています。2013 年の Google、2014 年の Microsoft をはじめとして、オンライン・セキュリティの向上に関心を持つ数多くのテクノロジー企業、EC 企業、金融機関をアライアンスに引き入れました。

Joe Pennisi

Joe Pennisi (レノボ、ディスティングイッシュド・エンジニア兼 PCSD グローバル・セキュリティ・ラボのリーダー)

「まず興味を引かれたのは、それが、全世界で誰もが巻き込まれているような大きな問題だったことです」と Pennisi は言います。

「このパスワード問題で厄介なのは、ユーザーとオンライン・サービスの間でパスワードという秘密情報が共有されるため、いずれの側も攻撃を受けるおそれがあることです。パスワード自体が弱いか、ユーザーがパスワードを適切に保護していなければ、そこが攻められます。サイト側のパスワード・データベースのセキュリティは残念なことに不十分な場合も多く、そこが攻撃されることもあります」

「弱いパスワードはさらなる攻撃を呼び込みます。ハッカーは、そのパスワードを悪用してパスワード・データベースを攻撃し、数百万、場合によっては数十億ものユーザー ID とパスワードを盗み出そうとするのです。」

Pennisi は、7 年にわたり指紋リーダーの開発に取り組んだ経験から、生体認証のような安全性の高い方法が普及すればオンライン・セキュリティを向上できると考えていました。しかし、指紋リーダーなどの生体認証技術の利用に関するオンライン・サービス向けの業界標準は存在せず、そのことが普及の妨げになっていたのです。

FIDO アライアンスが設立されて最初に直面した課題は、標準規格を確立してプロトコルの技術的詳細を決めるいくつかのワーキング・グループを設置することでした。これらのグループは、FIDO セキュリティの中核となる規格を作ることになります。

FIDO の仕様策定が進んでいた 2013 年、レノボでプリンシパル・エンジニア兼グローバル・セキュリティのデバイス・セキュリティ担当ディレクターを務める David Rivera が FIDO に参加しました。

David Rivera

David Rivera (レノボ、プリンシパル・エンジニア兼グローバル・セキュリティのデバイス・セキュリティ担当ディレクター)

彼は認定に関するワーキング・グループを立ち上げるとともにそのリーダーを務め、製品が FIDO 認定を受けるためのテストと承認に関するポリシーとプロセスの確立に取り組んでいます。

「FIDO の標準規格が決まった後は、テストツールとプロセスを整備する必要がありました。規格に準拠した製品を作るベンダーが仕様を正しく実装するとともに、異なるベンダーの製品が適切に連携できることを確認するためです」と Rivera は言います。

「そこでベンダーに協力を求め、プロセスを確立し、製品をテストして、すべての製品が設計どおりに連携できることを確認したのです」

FIDO が提案するパスワードの代替策とは?

代替策を簡単に言うと、関連付けられた異なる 2 つの鍵を使用するという非対称暗号方式です。鍵ペアのうち、一方の鍵は送信データの暗号化、もう一方の鍵はその復号に使用します。

これは、ハード・ドライブなどでよく使われる、同じ鍵で暗号化と復号を行う方式とは異なるものです。FIDO の場合、ユーザーの PC が Web サイトごとに異なる秘密鍵を保有し、Web サイト側はそれに対応する公開鍵を保有することになります。

公開鍵と秘密鍵のペアは、オンライン・サービスごと、デバイスごとに異なります。セキュリティの観点では、自分のデバイスに保存された鍵を守るだけでよいことになり、また仮に攻撃者が鍵を手に入れても、悪用できる範囲はかなり限定されるというメリットもあります。

デバイスが侵入された場合、そのユーザーの情報は盗み出される可能性がありますが、攻撃者がその情報を使ってオンライン・サービスの公開鍵データベースに侵入しても、鍵ペアはすべて一意であるためそれ以上の攻撃はできず、ほかのサービスに被害は及びません。

FIDO 認定では、デバイスのセキュリティ認定が必須となります。これにより、デバイスが鍵を一定レベルで適切に保護していることが保証されるため、ユーザーと Web サイトの両者の安全に役立ちます。さらに最近、FIDO で生体認証もサポートされました。生体認証に対応したデバイスでは、パスワードよりも強力なセキュリティが保証されます。

Pennisi と Rivera は両者とも、今後数年間で FIDO 標準規格を採用する企業が増え、ユーザーがそのメリットを理解することで、FIDO 認定デバイスの数が急増すると予想しています。Microsoft が昨年 Windows 10 で FIDO を採用したことをきっかけに、今年は採用が急増しています。Apple がアライアンスに参加したことで、FIDO の普及にいっそう弾みがつくと期待されています。

「ユーザーを悩ます大きな課題の解消に取り組めたこと、そしてレノボがこの取り組みに最初から参加していたことを大変うれしく思います」と Rivera は語ります。「初期の頃を思えば、今日これだけ多くの製品に FIDO 認定マークが付いているのは感慨深いことです」

FIDOのこれからの課題

FIDO が取り組むべき課題は、まだまだ残っています。 FIDO のボードメンバーに多くの大手金融機関が名を連ねているにも関わらず、金融業界で FIDO の採用が進んでいないのです。

金融業界はかなり慎重です。ユーザーがオンライン・バンキングのアカウントにサインインした際は、接続を許可する前に本人確認を厳格に行いたいのです。FIDO は今、この領域で取り組みを進めています。

Pennisi によると、FIDO は、サイバーセキュリティの改善余地が大きい領域としてIoT(Internet of Things : モノのインターネット)デバイスに目しています。また、本人確認の領域において、アカウントのプロビジョニングと回復の両方でアイデンティティを検証する標準的な方法を確立し、オンライン・セキュリティを底上げするイノベーションを実現する必要があるとも考えています。

jp-news-story-2020-0410-5.jpg

日本でのFIDOの活動

レノボ・ジャパンでの活動も併せてご紹介します。大和研究所・ThinkPad開発・萩原幹雄、牧耕太郎、レノボ・リサーチ・要 強、河野誠一等のメンバーでFIDO アライアンスの技術の開発、FJWG (Japan Regional WG: 日本技術部会) に参加しFIDO アライアンスの普及に務めています。

レノボはセキュリティに関する国際標準化団体Trusted Computing Group(TCG)の理事も務めており、上記メンバーは、その日本支部の議長の役目などを通して、ThinkPad を始めとしてすべてのレノボPC/NEC PC 製品に搭載しているセキュリティTPMチップのプロモーション、日本でのサイバーセキュリティ・リテラシー向上に貢献させていただいています。

例えば、TCG理事メンバーと、日本のセキュリティをリードしているNISC(内閣サイバーセキュリティ)や経済産業省サイバーセキュリティ課とIoTセキュリティに関しての意見交換会を主催しました。経済産業省が推し進めている電子政府推奨暗号に関するプロジェクト(CRYPTREC: Cryptography Research and Evaluation Committees) に参画し、技術報告書作成に貢献しました。また、日本のサイバーセキュリティを各国と連携して監視しているJPCERT/CCに対して、ThinkPad BIOS エンジニアによるTCGセキュリティ技術やThinkPad での標準化に基づいたセキュリティの実装レクチャーなども行っています。 これからも安心安全なネット社会を実現できるよう活動していきます。